還有多少App在窺視個人隱私 支付寶年度賬單事件背后

“默認同意”讀取通訊錄、照片等在互聯(lián)網(wǎng)行業(yè)并不少見。（視覺中國/圖）

　　原標題：還有多少App在窺視你的個人隱私 支付寶“2017年賬單”事件背后

　　來源：南方周末

　?。ū疚氖装l(fā)于2018年1月11日《南方周末》）

　　互聯(lián)網(wǎng)技術(shù)發(fā)展對個人隱私帶來了巨大挑戰(zhàn)，支付寶“2017年賬單”事件也許只是壓垮駱駝的那根稻草。網(wǎng)友的質(zhì)疑和憤怒，從側(cè)面反映出目前個人數(shù)據(jù)權(quán)益保護現(xiàn)狀不容樂觀。

　　對于用戶數(shù)據(jù)的第一次收集和使用，App方正確做法應該是遵循默認拒絕原則，即默認不勾選。支付寶賬單的“同意”服務協(xié)議行為屬于濫用默認同意規(guī)則，違反了關于個人隱私保護的倫理共識。

　　“用戶的隱私完全沒有得到保護和尊重。”看到微博上對支付寶的質(zhì)疑，一個小時前剛在微信朋友圈分享了自己支付寶年賬單的周超感到憤怒。當天，他將手機上的App檢查了一遍，將允許讀取通訊錄或短信的設置，統(tǒng)統(tǒng)修改為不允許。

　　2018年1月3日，支付寶面向其用戶推出個性化的“2017支付寶年賬單”。不少網(wǎng)友紛紛在社交媒體曬出了自己的年賬單，一度引起刷屏。然而，很快有律師指出支付寶與芝麻信用間的“授權(quán)漏洞”，網(wǎng)友意識到自己可能“被同意了”一個名為《芝麻服務協(xié)議》的用戶協(xié)議，事情因此急轉(zhuǎn)直下，網(wǎng)友對支付寶侵犯個人隱私的質(zhì)疑引起又一輪刷屏。

　　當天，芝麻信用和支付寶對此進行了糾正和公開道歉。但是圍繞此事件及其衍生出的用戶數(shù)據(jù)隱私、個人數(shù)據(jù)權(quán)益保護問題，還是引發(fā)眾多專業(yè)人士的關注和討論。

　　在對支付寶提出批評的同時，一些評論人士表示，在數(shù)據(jù)隱私未得到充分重視和保護的現(xiàn)狀下，此事件帶來大規(guī)模的網(wǎng)友對個人數(shù)據(jù)隱私的關注，或意味著用戶數(shù)據(jù)隱私觀念的覺醒，是該事件積極的一面。

　　那么芝麻信用和支付寶到底做錯了什么？還有多少互聯(lián)網(wǎng)智能手機應用（又稱“App”）在窺視甚至侵犯你的數(shù)據(jù)隱私？在當前的互聯(lián)網(wǎng)時代，又究竟該如何保護個人的數(shù)據(jù)權(quán)益？

　　支付寶賬單引質(zhì)疑被濫用的“默認同意”

　　“2017支付寶年賬單”展示的信息主要為，用戶在這一年通過支付寶購買各類商品和服務的統(tǒng)計記錄。但在該賬單中，有一個頁面的信息來自芝麻信用提供的信用守約情況，而非來自支付寶的交易記錄。

　　支付寶（中國）網(wǎng)絡技術(shù)有限公司（以下簡稱“支付寶”）和芝麻信用管理有限公司（以下簡稱“芝麻信用”）是螞蟻金融服務集團旗下的兩家公司。因為兩家公司相對獨立，支付寶在調(diào)用芝麻信用的數(shù)據(jù)時，必須經(jīng)過用戶授權(quán)，因此支付寶在年度賬單的首頁設置了“我同意《芝麻服務協(xié)議》”這一選項。

　　這一設置引起了北京市岳成律師事務所岳屾山律師的注意。2018年1月3日13時許，岳屾山在微博指出，“我同意《芝麻服務協(xié)議》”這行字不但字號特別小，而且已經(jīng)幫用戶選擇好“同意”了。若用戶未注意到這行字，就會直接同意這個協(xié)議，允許支付寶收集用戶的信息包括在第三方保存的信息。他還引用相關法規(guī)表示，芝麻信用“默認同意”的設置沒有給用戶了解條款的機會，用戶“稍不注意就進坑了”。

　　“設坑使用戶簽署協(xié)議本質(zhì)上屬于欺騙?！?018年1月6日，湖南師范大學人工智能道德決策研究所所長李倫教授在接受南方周末采訪時分析指出，對于數(shù)據(jù)的第一次收集和使用，正確做法應該是遵循默認拒絕原則，即默認不勾選。支付寶的上述行為屬于濫用默認同意規(guī)則，違反了關于個人隱私保護的倫理共識。

　　在西南政法大學民商法學院教授張建文看來，此事件中，支付寶除了違背了基本的商業(yè)道德，更是違反了《中華人民共和國消費者權(quán)益保護法》中的相關規(guī)定，明顯侵害了消費者的自主選擇權(quán)。

　　2018年1月3日下午，中國消費者報微信公眾號引用岳屾山的該條微博發(fā)布相關文章，使得輿論對支付寶的質(zhì)疑進一步擴大。據(jù)財新網(wǎng)報道，當日下午央行支付司要求支付寶對此糾正并致歉。

　　當日23時許，芝麻信用在新浪微博發(fā)布“查看支付寶年賬單時‘被同意《芝麻服務協(xié)議》’的情況說明”承認“這件事，肯定是錯了”。此外，芝麻信用還表示：已經(jīng)調(diào)整了頁面，取消默認勾選；此前沒有開通芝麻信用的用戶，不會因此被收集信息。隨后，支付寶轉(zhuǎn)發(fā)了這條微博。

　　“默認同意規(guī)則被濫用的情況非常普遍。”2018年1月6日，上?，斈葦?shù)據(jù)科技發(fā)展基金會創(chuàng)始人、副理事長張唯對南方周末表示，支付寶引發(fā)質(zhì)疑的“默認同意”行為在互聯(lián)網(wǎng)行業(yè)并不少見。

　　據(jù)媒體報道，2017年10月，攜程在銷售機票時默認勾選酒店券、接機券等銷售行為引發(fā)消費者聲討。之后，攜程對其機票產(chǎn)品進行了整改，推出“普通預訂”窗口，該頁面內(nèi)所有的附加商品均為默認未勾選。

　　除了“默認搭售”之外，在湖北省荊州市一家物流公司工作的周超發(fā)現(xiàn)“默認讀取”的現(xiàn)象也很常見，“現(xiàn)在幾乎所有的App都會要求訪問用戶的通訊錄，一些雖然可以選擇不允許，但安裝使用的時候都是被默認允許的狀態(tài)”。周超曾在手機上下載過一款跑酷游戲App，安裝完成后，提示要讀取地址和通訊錄，方可啟動游戲。周超心想，一款游戲而已，為什么要訪問通訊錄？于是他選擇了不允許讀取，隨即游戲界面自動退出。反復試了兩三次后，周超卸載了這款游戲。

　　在北京一家互聯(lián)網(wǎng)公司從事數(shù)據(jù)挖掘工作的劉強強，則遭遇過同樣惡劣的“默認發(fā)布”行為。

　　2017年10月初，劉強強下載了一款名為“脈脈”的職場社交App。用了不到兩周，一位同事收到包含劉強強的真實姓名在內(nèi)的邀請其下載該軟件的短信?！罢f我標注了他，要想查看需下載，壓根沒有的事，”看到同事發(fā)來的截圖，劉強強感到氣憤，“領導要是收到怎么辦，還以為我在脈脈上找機會跳槽?！碑斕煨遁d了該軟件并注銷了賬號。

　　2017年11月15日，國家工信部發(fā)布的一份手機App抽檢結(jié)果公告顯示，有31款軟件涉及違規(guī)收集使用用戶個人信息、惡意“吸費”等問題。

　　李倫認為，互聯(lián)網(wǎng)技術(shù)的發(fā)展對個人隱私帶來了巨大的挑戰(zhàn)，支付寶年賬單事件也許只是壓垮駱駝的那根稻草?！霸谥Ц秾毷录?，網(wǎng)友出現(xiàn)大規(guī)模的質(zhì)疑和憤怒，其實從側(cè)面反映出目前個人數(shù)據(jù)權(quán)益保護的現(xiàn)狀不容樂觀。”

　　數(shù)據(jù)資產(chǎn)時代脆弱的個人隱私權(quán)利

　　2017年12月25日，由全國人大常委會執(zhí)法檢查組委托中國青年報社社會調(diào)查中心所做的“萬人調(diào)查報告”顯示，有超過六成受訪者遇到過互聯(lián)網(wǎng)應用默認讀取，甚至強制讀?。ú煌庾x取則無法使用軟件）的情況。

　　張建文分析認為，造成這一現(xiàn)象的原因在于，在當前互聯(lián)網(wǎng)服務中，服務提供商和用戶之間存在明顯不對等的關系。相對于用戶而言，服務提供商明顯占據(jù)優(yōu)勢地位，其在服務協(xié)議中事先設置“默認同意”，如果用戶取消勾選同意，將不能享有該項服務內(nèi)容，用戶處于被動的地位，缺乏充分的自主選擇權(quán)。另外，“默認同意”的法律定性及相應法律責任并不明晰，這給網(wǎng)絡服務提供商“鉆空子”“打擦邊球”造成了可乘之機。

　　“個人隱私權(quán)在企業(yè)數(shù)據(jù)權(quán)力面前極為脆弱?！崩顐愐舱J同個人在互聯(lián)網(wǎng)企業(yè)面前是處于弱勢地位的。

　　李倫進一步分析指出，互聯(lián)網(wǎng)應用侵犯用戶數(shù)據(jù)權(quán)益的情況之所以普遍存在主要有三個方面的原因：一、企業(yè)對于商業(yè)利益的追求，新型互聯(lián)網(wǎng)產(chǎn)業(yè)對于個人信息的依賴程度較高，對于用戶的個人信息掌握越充分，越能做到精準營銷；二、信息技術(shù)和數(shù)據(jù)技術(shù)使得隱私受到威脅的程度大為增加了，信息技術(shù)可以使原始數(shù)據(jù)的獲取變得更加便利，而數(shù)據(jù)技術(shù)的進步則可以從雜亂的、碎片化的數(shù)據(jù)中還原出個人的信息。三、目前對于個人數(shù)據(jù)的權(quán)利歸屬尚未統(tǒng)一，因此實踐中對其進行保護有所困難。

　　“數(shù)據(jù)就是資產(chǎn)，”張唯認為，個人信息確實越來越受到各個企業(yè)的關注?！疤貏e是前幾年，國家對于互聯(lián)網(wǎng)行業(yè)采取了一種更加開放的、支持的態(tài)度，對于個人數(shù)據(jù)隱私保護的力度遠遠不夠。這在某種程度上促成了很多企業(yè)對數(shù)據(jù)的不合理的獲取。去年的網(wǎng)絡安全法實施之后，這個情況有一些好轉(zhuǎn)?！?/p>

　　2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式實施，針對個人信息保護明確規(guī)定：網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。

　　此外，《互聯(lián)網(wǎng)交易管理辦法》《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》等均對個人信息保護作出了規(guī)定。

　　“這些規(guī)定都是比較粗略的，對于現(xiàn)在比較模糊的個人信息的界定、個人信息的使用范圍，如何才算是合規(guī)地傳遞個人信息，這些在目前的法律體系里面都沒有細化的規(guī)定。因此，互聯(lián)網(wǎng)企業(yè)也難以細化地進行相應的調(diào)整?！鄙虾Ｐ清蓭熓聞账鞴苈蓭熑铎\倩對南方周末表示，雖然目前在國內(nèi)，對于個人信息的保護，已經(jīng)有一些相應的法律法規(guī)，但是缺乏一部系統(tǒng)的法律進行規(guī)范。

　　阮靄倩指出，另一方面，國內(nèi)對于侵犯個人信息權(quán)益的違法行為的懲罰制度，目前也不是很完善。而在歐盟國家，若企業(yè)侵犯個人信息權(quán)利，可能會面臨50萬到2000萬歐元不等的巨額罰款。

　　美國歐盟經(jīng)驗多方博弈中爭取權(quán)益

　　盡管美國、歐盟等發(fā)達國家，對于個人數(shù)據(jù)權(quán)益的保護出臺了更為系統(tǒng)的法律，但在實際中，互聯(lián)網(wǎng)公司的自身發(fā)展與用戶的隱私保護之間的紛爭一直存在。業(yè)內(nèi)人士指出，個人數(shù)據(jù)權(quán)益的保護可以說是在互聯(lián)網(wǎng)公司與用戶等各方的博弈中不斷前進。

　　在歐盟，存在通用的數(shù)據(jù)信息保護條款，相應的權(quán)利的保護也更加嚴格。最廣為人知的是數(shù)據(jù)的遺忘權(quán)，即用戶在某平臺注銷了賬戶，其留在該平臺上的所有歷史數(shù)據(jù)記錄需要被同步消除，后期在沒有得到該用戶的授權(quán)的情況下，平臺不能繼續(xù)給該用戶提供相應的服務。

　　“這些條款規(guī)定確實是比較嚴格，有聲音認為這其實束縛了產(chǎn)業(yè)的發(fā)展?！睆埼ㄖ赋觯稓W盟數(shù)據(jù)保護一般規(guī)則》中的一些條款在美國并未得到認同和實施。

　　“美國對于隱私權(quán)的理解與歐盟不同，更多地建立在自由的基礎上，以行業(yè)自律為主導?！睋?jù)李倫介紹，對于個人數(shù)據(jù)權(quán)益保護，美國有多種形式的行業(yè)自律組織。其中，網(wǎng)絡隱私認證計劃頗具特色：網(wǎng)站提出申請，經(jīng)過第三方隱私認證機構(gòu)認證后，可以在其網(wǎng)頁上放置“信任標志”，以此表示將遵守網(wǎng)絡隱私保護和數(shù)據(jù)收集的原則，以及接受相應的監(jiān)督。

　　對此，張唯認為，第三方評估可能會起到一定指引作用。在國內(nèi)，若有第三方評估機構(gòu)對互聯(lián)網(wǎng)企業(yè)、對個人信息保護等行為進行評測，會給用戶以提醒和支持作用。

　　盡管擁有豐富的行業(yè)自律組織，以及多部關于隱私權(quán)的法律法規(guī)，在美國，互聯(lián)網(wǎng)企業(yè)與用戶隱私保護之間的沖突仍然屢屢出現(xiàn)。李倫向南方周末介紹了Facebook的例子：2007年Facebook發(fā)布燈塔廣告項目，用戶在該項目的合作網(wǎng)站上的訪問數(shù)據(jù)，都會顯示在Facebook網(wǎng)站上。用戶反應強烈，認為該項目侵犯了他們的隱私，不少隱私保護機構(gòu)也提出了激烈的批評，兩年后Facebook放棄了這一項目。2009年，F(xiàn)acebook修改了使用條款，對用戶刪除了的上傳資料依然具有使用權(quán)，又激發(fā)了用戶的抗議，最后Facebook放棄了這一條款，重新修改后征求用戶的意見。

　　在張唯看來，由于美國互聯(lián)網(wǎng)行業(yè)獨特的競爭態(tài)勢，美國對于個人數(shù)據(jù)權(quán)益的保護，也是一個多方利益博弈的過程。對于中國而言，不能完全照搬美國或歐盟的模式，既不能因為對個人數(shù)據(jù)的過度保護影響產(chǎn)業(yè)的發(fā)展，也不能因為要推動行業(yè)發(fā)展，就漠視個人的權(quán)利。

　　面對當前這個越來越以數(shù)據(jù)為基礎的社會，如何才能保障個人的數(shù)據(jù)權(quán)益？

　　對此，阮靄倩指出，互聯(lián)網(wǎng)企業(yè)在采集數(shù)據(jù)時要在合法的框架內(nèi)進行，嚴格把控數(shù)據(jù)采集的界限，并建立相應的內(nèi)控體系，防范信息被盜取。

　　張建文則建議，應當積極推動個人信息保護法的出臺，通過專門的個人信息保護立法為用戶的數(shù)據(jù)隱私提供全面有效的保護規(guī)范。此外，在執(zhí)法層面，應當加強執(zhí)法效果，對于違反用戶數(shù)據(jù)隱私的違法行為予以嚴格執(zhí)法。

　　對于用戶自身而言，張唯提出，個人要明確認知和充分尊重自己的權(quán)利，知道在現(xiàn)有的法律框架下，是有法律對于自己的個人數(shù)據(jù)進行保護和保障的，在參與每個用戶協(xié)議時，對自己的行為進行負責。但張唯也指出，要求個人都能夠理解和認知所有的用戶協(xié)議，嚴格來講是不公平的。在現(xiàn)有的技術(shù)和產(chǎn)業(yè)格局下，更關鍵的是需要行業(yè)和政府對于個人信息權(quán)益保護的模式和規(guī)則進行完善。

　　“需要一些示范性的事件出現(xiàn)，比如這次的支付寶事件可能就會推動整個行業(yè)內(nèi)對于用戶規(guī)則這個層面進行一系列的修正。”張唯表示，作為行業(yè)領袖的支付寶如果能進一步加強對自身的約束，對于整個行業(yè)對個人信息權(quán)益保護的升級和優(yōu)化，是有積極作用的。

　?。☉稍L對象要求，周超為化名）